4290秒快速读懂（4290秒快速读懂）

一、IPsec VPN应用场景

企业分支可以通过IPsec VPN接入到企业总部网络。

机密性（Confidentiality）指对数据进行加密保护用密文的形式传送数据。

完整性（Data integrity）指对接收的数据进行认证，以判定报文是否被算改。

防重放（Anti -replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

二、IPSec架构

IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成。

AH协议：主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH 并不加密所保护的数据报。

ESP协议：提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。

IKE协议：用于自动协商AH和ESP所使用的密码算法。

三、安全联盟SA

安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。

安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA。

手工方式：安全联盟所需的全部信息都必须手工配置。手工方式建立安全联盟比较复杂， 但优点是可以不依赖IKE而单独实现IPSec功能。当对等体设备数量较少时，或是在小型静态环境中，手工配置SA是可行的。

IKE动态协商方式：只需要通信对等体间配置好IKE协商参数，由IKE自动协商来创建和维护SA。动态协商方式建立安全联盟相对简单些。对于中、大型的动态网络环境中，推荐使用IKE协商建立SA。

四、IPSec传输模式

在传输模式下， AH或ESP报头位于IP报头和传输层报头之间。

五、IPSec隧道模式

在隧道模式下，IPsec会另外生成一个新的IP报头，并封装在AH或ESP之前。